Cómo gestionar la seguridad de las redes de comunicación

Transcripción

1 Cómo gestionar la seguridad de las redes de comunicación Robin Moses y Harry Archer

2 Título original: Delivering and Managing Real World Network Security Autores: Robin Moses y Harry Archer BSI, 2006 ISBN: Título en castellano: Cómo gestionar la seguridad de las redes de comunicación Traducción: GAAP Editorial AENOR (Asociación Española de Normalización y Certificación), 2008 ISBN: Depósito Legal: M Impreso en España - Printed in Spain Edita: AENOR Maqueta y diseño de cubierta: AENOR Imprime: Dayton Todos los derechos reservados. No se permite la reproducción total o parcial de este libro, por cualquiera de los sistemas de difusión existentes, sin la autorización previa por escrito de AENOR. Nota: AENOR no se hace responsable de las opiniones expresadas por los autores en esta obra. Génova, Madrid Tel.: Fax: comercial@aenor.es

3 Índice 1. Introducción Alcance Visión general de ISO/IEC a Introducción 3.2. ISO/IEC Gestión de la seguridad de la red (Network Security Management) Contenido Audiencia ISO/IEC Arquitectura de seguridad de red (Network Security Architecture) Contenido Audiencia ISO/IEC Seguridad de las comunicaciones entre redes utilizando pasarelas de seguridad (Securing communications between networks using security gateways) Contenido Audiencia ISO/IEC Seguridad de los accesos remotos (Securing remote access) Contenido Audiencia

4 6 Cómo gestionar la seguridad de las redes de comunicación 3.6. ISO/IEC Seguridad en las comunicaciones entre redes utilizando redes privadas virtuales (VPN) (Securing communications across networks using virtual private networks) Contenido Audiencia Identificación de los riesgos de seguridad de red y los controles de seguridad relacionados Introducción Procesos y componentes de la gestión y la valoración de riesgos Visión general Establecimiento del ámbito de la revisión y sus límites Identificación de activos Determinación de la importancia de la información y del servicio a través del análisis del impacto para la empresa (valoración de activos) Valoración de las amenazas Valoración de las vulnerabilidades Identificación de los controles de seguridad existentes y planificados Valoración de los riesgos Identificación y selección de los controles de seguridad Identificación y estudio de las restricciones Aceptación del riesgo Gestión del riesgo de seguridad actual Asegurar una correcta arquitectura de seguridad técnica del entorno de red Introducción El proceso de desarrollo de la arquitectura de la seguridad técnica del entorno de red Visión general del proceso Inicio del proyecto de seguridad del entorno de red Necesidades de amplitud del entorno de red de la empresa o comunidad Estudio o revisión de la arquitectura técnica actual o planificada

5 Índice Estudio o revisión de los controles de seguridad y valoración de riesgos actuales o planificados Estudio de las necesidades de rendimiento y los criterios de confirmación Diseño de la seguridad técnica Prueba de concepto Selección de los productos La arquitectura de seguridad técnica del entorno de red y la documentación relacionada Planes de prueba y realización de las mismas Conformidad formal de la arquitectura de seguridad técnica del entorno de red Principios generales de diseño Introducción Principios de diseño de la arquitectura de seguridad de las pasarelas y cortafuegos Robustez del diseño Contabilidad y auditoría de seguridad Gestión de sistemas y servicios Reforzado del sistema operativo Copia de seguridad Direcciones IP PDC/BDC/WINS Otros aspectos Conclusión Aspectos de la arquitectura de seguridad técnica de la red de área local Introducción Riesgos de seguridad Controles de seguridad Aspectos de la arquitectura de seguridad técnica de la red de área extensa Introducción Riesgos de seguridad Controles de seguridad

6 8 Cómo gestionar la seguridad de las redes de comunicación 8. Aspectos de la arquitectura de seguridad técnica de la red inalámbrica Introducción Riesgos de seguridad Controles de seguridad Aspectos de la arquitectura de seguridad técnica de las redes por radio Introducción Riesgos de seguridad Generales Riesgos de seguridad de TETRA Riesgos de seguridad de GSM Riesgo de seguridad de 3G Riesgos de seguridad de Bluetooth Riesgos de seguridad de GPRS Riesgos de seguridad de CDPD Riesgos de seguridad de CDMA Riesgos de seguridad RFID Riesgos de seguridad de WAP Controles de seguridad Controles de seguridad generales Controles de seguridad para TETRA Controles de seguridad para GSM Controles de seguridad para 3G Controles de seguridad para Bluetooth Controles de seguridad para GPRS Controles de seguridad para CDPD Controles de seguridad para CDMA Controles de seguridad para RFID Controles de seguridad para WAP Aspectos de la arquitectura de seguridad técnica para las redes de banda ancha Introducción Riesgos de seguridad Controles de seguridad

7 Índice Aspectos de seguridad técnica para pasarelas de seguridad Introducción Riesgos de seguridad Controles de seguridad Aspectos de seguridad técnica para el acceso remoto Introducción Riesgos de seguridad Controles de seguridad Aspectos de seguridad técnica para las redes privadas virtuales Introducción Riesgos de seguridad Controles de seguridad Aspectos de la arquitectura de seguridad técnica de las redes de voz Introducción Riesgos de seguridad Controles de seguridad Aspectos de la arquitectura de seguridad técnica de las redes de convergencia IP (datos, voz, vídeo) Introducción Riesgos de seguridad Controles de seguridad Aspectos de la arquitectura de seguridad técnica de las arquitecturas de alojamiento web Introducción Riesgos de seguridad Controles de seguridad Aspectos de seguridad técnica de las arquitecturas de correo electrónico de Internet Introducción Riesgos de seguridad Controles de seguridad

8 10 Cómo gestionar la seguridad de las redes de comunicación 18. Aspectos de seguridad técnica del acceso de salida a Internet Introducción Riesgos de seguridad Controles de seguridad Aspectos de seguridad técnica del acceso de entrada desde Internet Introducción Riesgos de seguridad Controles de seguridad Aspectos de seguridad técnica del acceso dirigido a terceros Introducción Riesgos de seguridad Controles de seguridad Apéndice A. Bibliografía Apéndice B. Definiciones y términos Apéndice C. Un ejemplo de plantilla del documento de arquitectura de seguridad técnica del entorno de red Apéndice D. Un ejemplo de plantilla del documento de requisitos (de seguridad) para el acceso a un servicio Índice de conceptos

9 1 Introducción En el mundo actual, la mayoría de las empresas del sector público y del privado tienen sus sistemas de información conectados con redes, interconectadas a su vez de una o más de las siguientes formas: dentro de la empresa, entre diferentes empresas, y entre la empresa y el público general. El rápido desarrollo del acceso público a la tecnología de red (en particular a Internet), con las nuevas oportunidades de negocio que ofrece, ha contribuido a que las empresas lleven su negocio a un entorno electrónico global, presentando servicios online a sus clientes. Estas oportunidades incluyen unos costes menores en las comunicaciones de datos, utilizando Internet como un medio de conexión sencillo, incluso hasta los servicios más sofisticados proporcionados por los proveedores de acceso a Internet (ISP, Internet Service Providers). Esto puede suponer desde el uso de un punto de conexión relativamente barato, como los terminales de una gran red, hasta un circuito complejo de comunicación para sistemas de comercio electrónico o prestación de servicios, utilizando para ello servicios y aplicaciones web. Aún más, las nuevas tecnologías (incluyendo la integración de datos, voz y vídeo) incrementan las oportunidades de teletrabajo, que permite a los empleados desarrollar su labor desde sus casas en períodos de tiempo o en fechas determinadas. Pueden mantenerse en contacto perfectamente con la empresa, los sistemas de trabajo en grupo y los sistemas de soporte a través de los servicios de comunicación remota. Existe una cuantiosa información sobre la gestión de la seguridad, el funcionamiento operativo y el uso de las redes de sistemas de información en las cinco partes de la Norma internacional ISO/IEC Tecnología de la información. Técnicas de seguridad. Seguridad de la red de TI. Parte 1: Gestión de la seguridad de red (Network security architecture) define y describe los conceptos asociados, da unas normas sobre la gestión de la

10 12 Cómo gestionar la seguridad de las redes de comunicación seguridad de red (incluyendo cómo identificar y analizar los factores relacionados con las comunicaciones que deben tenerse en cuenta para establecer los requisitos de la seguridad de red), y proporciona una introducción a las posibles áreas de control, aun con las que se trabajarán en las siguientes partes de la norma. Parte 2: Arquitectura de la seguridad de red (Network security architecture), define una arquitectura de seguridad de referencia y describe un marco para ayudar a la planificación, diseño e implementación de la seguridad de red. Parte 3: Seguridad de las comunicaciones entre redes utilizando pasarelas (Curing communications between networks using security gateways) define las técnicas para asegurar las transmisiones de información entre redes empleando puertas de enlace. Parte 4: Seguridad del acceso remoto, define las técnicas para asegurar los accesos remotos a redes. Parte 5: Seguridad en las comunicaciones entre redes utilizando redes privadas virtuales (Securing communications across networks using private networks) (VPN), define las técnicas para asegurar la interconexión de redes cuando se utilizan conexiones del tipo VPN. Sin embargo, las cinco partes de ISO/IEC no sólo esbozan varios temas importantes en la seguridad de redes en la actualidad y que preocupan a las empresas y a los particulares. Esta guía es una introducción a la Norma ISO/IEC y sus suplementos, y además traza unas directrices sobre los temas no recogidos en ella. Con este libro será capaz de: Identificar los riesgos de seguridad en redes y los controles de seguridad relacionados (y asegurar su compatibilidad con la Norma ISO/IEC 17799:2005 Tecnología de la información. Código de buenas prácticas para la gestión de la seguridad de la información, que ha sustituido a BS , y la Norma ISO/IEC 27001:2005 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI), que ha sustituido a BS Asegurarse de que tiene implantada una arquitectura de seguridad de red correcta. Identificar y trabajar con los aspectos del mundo real sobre la arquitectura de seguridad técnica y los aspectos de relevancia del mundo real de las redes (véase la lista de temas del capítulo 2).

11 Introducción 13 Nuestra guía está dirigida a: Los responsables máximos de las comunicaciones de datos, voz y vídeo de una empresa. Los responsables máximos de la seguridad global y las políticas asociadas de la empresa, y sus empleados clave. Los responsables específicos de la seguridad de la información y de red de la empresa, y sus empleados clave. Los responsables específicos de la planificación detallada, el diseño y la implementación de los elementos de seguridad de red, y sus empleados clave. Los responsables específicos de la operación de red, y sus empleados clave. Los responsables de tecnología de información y comunicaciones, y sus empleados clave. Siguiendo esta guía para identificar los requisitos de seguridad de red y los aspectos de control y la arquitectura de seguridad técnica para cumplir esos requisitos, el lector será capaz de alcanzar de forma satisfactoria el nivel de seguridad de red necesario. Aún más, los responsables de la seguridad de la información de una empresa en general, y, en concreto, los responsables de las comunicaciones de datos, voz y vídeo serán capaces de adaptar el material de esta guía para cumplir las necesidades específicas de la empresa.

12 2 Alcance En los siguientes capítulos, esta guía proporciona: Una visión general de la Norma ISO/IEC a -5 (capítulo 3). Una guía sobre cómo identificar los riesgos de seguridad de red y los aspectos de seguridad técnica relacionados, y los controles de seguridad (capítulo 4). Una guía sobre cómo asegurar que se tiene implantada una arquitectura de seguridad técnica de red correcta (capítulo 5). Una guía de los riesgos y los aspectos de seguridad técnica relacionados para: Redes de área local (capítulo 6). Redes de área extensa (capítulo 7). Redes inalámbricas (capítulo 8). Redes vía radio (capítulo 9). Redes de banda ancha (capítulo 10). Comunicaciones entre redes utilizando puertas de enlace (pasarelas) seguras (capítulo 11). Acceso remoto (capítulo 12). Comunicaciones entre redes utilizando redes privadas virtuales (VPN, Virtual Private Network) (capítulo 13). Redes de voz (capítulo 14). Redes de convergencia IP (datos, voz y vídeo) (capítulo 15).

13 16 Cómo gestionar la seguridad de las redes de comunicación Arquitecturas de servidor web (capítulo 16). Arquitecturas de correo electrónico a través de Internet (capítulo 17). Comunicaciones de salida a Internet (capítulo 18). Comunicaciones de entrada desde Internet (capítulo 19). Comunicaciones redirigidas a otras empresas (capítulo 20).